We staan voor je klaar

Hulp bij compliance

Als softwaregebruiker en leverancier moet je voldoen aan wetten, normen en regels. Zoals de AVG, ISO 27001, ARBIT, SOC2 of BIO. Onze continuïteitsregelingen helpen je voldoen aan deze verplichtingen.

Plan een vrijblijvend kennismakingsgesprek Neem contact op

Een selectie van onze klanten

Daarom kies je voor ons

Compliance
bij Software Borg

Onze werkwijze

Wij helpen je voldoen aan wet-
en regelgeving.

Compliance komt van het Engelse woord, to comply. Met andere woorden: het naleven van wet- en regelgeving, normen en contractuele afspraken door personen of organisaties. In vrijwel alle bedrijfssectoren en branches heb je te maken met compliance.

Afhankelijk van de branche waarin je werkt of met wie je zaken doet, moet je compliant zijn aan verschillende wetten en regels. Om aan onderstaande wet- en regelgeving te voldoen, is het belangrijk dat de software (broncode) beschikbaar is en blijft. Dit kun je aantonen door deel te nemen aan de escrowregelingen die Software Borg aanbiedt.

Met deelname aan die regelingen toon je aan dat je een concrete maatregel rondom de beschikbaarheid en continuïteit van zowel software als data hebt geïmplementeerd en dus compliant bent. Ook branche-specifieke wet- en regelgeving of normen kunnen hierin opgenomen worden.

Referenties & klantverhalen

Wat klanten vertellen over ons

Software Borg is voor ons een fijne partner waarmee we al jarenlang zaken doen. Alle juridische zaken regelen zij, daar hebben we zelf geen omkijken naar. Jaarlijks wordt de broncode DigiOffice gecontroleerd... Lees meer

Niels van der Steenhoven, directeur Ontwikkeling van DigiOffice 

Samen met Paul en Jesse hebben we gekeken naar hoe broncode escrow voor ons het beste in te richten valt. Een depot bij de IT-notaris gecombineerd met online deponeren bleek de beste oplossing voor ons.

Paul Mignot, Founder & CEO / Rob Everhardt, Founder & CTO

Aan onze klanten van Zorg GGZ beloven we: ‘Jouw administratie, onze zorg’. Die belofte komen we voor de continuïteit van het gebruik van de applicatie na door de software escrowregeling bij Software Borg te beleggen.

Marcel Hofstede, Strategisch Marketeer Axians

Samen met haar Gebruikersvereniging heeft PinkRoccade gekozen voor Software Borg: "Het is belangrijk om partners te hebben die direct begrijpen dat continuïteit in dienstverlening een hoge prioriteit heeft..." Lees meer

Theo Timmermans, Bestuursadviseur Gebruikersvereniging 

De afgelopen tijd hebben de IT-juristen ons goed geholpen om alles te regelen voor het inrichten van de continuïteitsregeling voor Peutermonitor. Onze klanten kunnen hiermee voldoen aan de GIBIT-regelgeving.

Sebastiaan Baauw, Adviseur & Partner 

De continuïteit van de examensoftware die wij gebruiken wordt al jaren geborgd door Software Borg en de notaris. Juridische en technische ontwikkelingen worden telkens meegenomen zodat de escrow up-to-date blijft.

Henk Scholten, manager DUO

Software Borg is voor ons een fijne partner waarmee we al jarenlang zaken doen. Alle juridische zaken regelen zij, daar hebben we zelf geen omkijken naar. Jaarlijks wordt de broncode DigiOffice gecontroleerd... Lees meer

Niels van der Steenhoven, directeur Ontwikkeling van DigiOffice

Samen met Paul en Jesse hebben we gekeken naar hoe broncode escrow voor ons het beste in te richten valt. Een depot bij de IT-notaris gecombineerd met online deponeren bleek de beste oplossing voor ons.

Paul Mignot, Founder & CEO / Rob Everhardt, Founder & CTO

Aan onze klanten van Zorg GGZ beloven we: ‘Jouw administratie, onze zorg’. Die belofte komen we voor de continuïteit van het gebruik van de applicatie na door de software escrowregeling bij Software Borg te beleggen.

Marcel Hofstede, Strategisch Marketeer Axians

Samen met haar Gebruikersvereniging heeft PinkRoccade gekozen voor Software Borg: "Het is belangrijk om partners te hebben die direct begrijpen dat continuïteit in dienstverlening een hoge prioriteit heeft..." Lees meer

Theo Timmermans, Bestuursadviseur Gebruikersvereniging 

De afgelopen tijd hebben de IT-juristen ons goed geholpen om alles te regelen voor het inrichten van de continuïteitsregeling voor Peutermonitor. Onze klanten kunnen hiermee voldoen aan de GIBIT-regelgeving.

Sebastiaan Baauw, Adviseur & Partner

De continuïteit van de examensoftware die wij gebruiken wordt al jaren geborgd door Software Borg en de notaris. Juridische en technische ontwikkelingen worden telkens meegenomen zodat de escrow up-to-date blijft.

Henk Scholten, manager DUO

Software Borg is voor ons een fijne partner waarmee we al jarenlang zaken doen. Alle juridische zaken regelen zij, daar hebben we zelf geen omkijken naar. Jaarlijks wordt de broncode DigiOffice gecontroleerd... Lees meer

Niels van der Steenhoven, directeur Ontwikkeling van DigiOffice

Samen met Paul en Jesse hebben we gekeken naar hoe broncode escrow voor ons het beste in te richten valt. Een depot bij de IT-notaris gecombineerd met online deponeren bleek de beste oplossing voor ons.

Paul Mignot, Founder & CEO / Rob Everhardt, Founder & CTO

Aan onze klanten van Zorg GGZ beloven we: ‘Jouw administratie, onze zorg’. Die belofte komen we voor de continuïteit van het gebruik van de applicatie na door de software escrowregeling bij Software Borg te beleggen.

Marcel Hofstede, Strategisch Marketeer Axians

Samen met haar Gebruikersvereniging heeft PinkRoccade gekozen voor Software Borg: "Het is belangrijk om partners te hebben die direct begrijpen dat continuïteit in dienstverlening een hoge prioriteit heeft..." Lees meer

Theo Timmermans, Bestuursadviseur Gebruikersvereniging

De afgelopen tijd hebben de IT-juristen ons goed geholpen om alles te regelen voor het inrichten van de continuïteitsregeling voor Peutermonitor. Onze klanten kunnen hiermee voldoen aan de GIBIT-regelgeving.

Sebastiaan Baauw, Adviseur & Partner

De continuïteit van de examensoftware die wij gebruiken wordt al jaren geborgd door Software Borg en de notaris. Juridische en technische ontwikkelingen worden telkens meegenomen zodat de escrow up-to-date blijft.

Henk Scholten, manager DUO

Escrow diensten

Escrow je software, SaaS, data en kennis

Gebruik of ontwikkel jij Software as a Service (SaaS) of on-premise? Dan garanderen we natuurlijk graag de continuïteit. Hiervoor is vaak meer nodig dan een traditionele broncode-escrow en kijken we naar de volledige keten. Hoe behoud je toegang tot je software én data? Voor het borgen van industriële digitale bedrijfsprocessen en kennis of alleen het back-uppen van je data kun je ook bij ons terecht.

Software escrow SaaS escrow Kennis escrow Data escrow

Maatwerk van Software Borg

Onze experts helpen je graag

Meer weten?

Met escrow van Software Borg
voldoen aan:

De Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR), is op 25 mei 2018 in werking getreden. De AVG bepaalt in grote lijnen de omgang met persoonsgegevens en zorgt ervoor dat er in de Europese Unie overal dezelfde privacyregels gelden. Van het aanwijzen van verantwoordelijken en het verstrekken van rechten aan personen tot aan het aangeven van beveiligingseisen en de hoogtes van boetes. Het doel hiervan is niet alleen om de bescherming van persoonsgegevens binnen de EU te garanderen, maar ook om het verkeer van vrije gegevens binnen de Europese interne markt, te realiseren.

Artikel 32 van de AVG heeft betrekking op de beveiliging van de verwerking van persoonsgegevens:

  1. b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheiden veerkracht van de verwerkingssystemen en diensten te garanderen;
  2. c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.

Gebruikers die zijn aangesloten bij onze regelingen hebben een concrete en aantoonbare maatregel genomen om te voldoen aan de AVG.

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS). Deze Europese Richtlijn was de eerste EU-wetgeving op het gebied van cybersecurity. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze richtlijn wordt in het Nederlands ook wel aangehaald als “richtlijn netwerk- en informatiebeveiliging” en afgekort tot NIB.

Artikel 7 (risico’s beheersen) van de Wbni verplicht tot het volgende:

1) De aanbieder van een essentiële dienst en de digitale dienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.

2) De in het eerste lid bedoelde maatregelen van de digitale dienstverlener houden in elk geval rekening met de volgende aspecten:

  1. de beveiliging van systemen en voorzieningen;
    b. behandeling van incidenten;
    c. het beheer van de bedrijfscontinuïteit;
    d. toezicht, controle en testen;
    e. inachtneming van de internationale normen.

Artikel 21 van NIS2:

De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en  weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving.

In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wbni. Ook zijn er plannen om de eisen van NIS2 te integreren in de herziene Baseline Informatiebeveiliging Overheid (BIO2.0).

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, vanaf 2019 is er één BIO voor de gehele overheid.

De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren. Op dit moment wordt er gewerkt aan de BIO2.0. Omdat de BIO2.0 op zijn vroegst eind 2024 van kracht zal worden, is op 1 juni 2023 de handreiking BIO2.0-opmaat opgeleverd. In hoofdstuk 17 wordt escrow behandeld.

In deze handreiking is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van de ISO-27002. Naast tekstuele wijzigingen, zijn ook een aantal overheidsmaatregelen geactualiseerd, vanwege nieuwe dreigingen, zoals ransomware. Naast de verhoging van de feitelijke veiligheid, wordt ook geanticipeerd op aanpassingen die in de BIO2.0 zullen worden doorgevoerd.

De ARBIT zijn opgesteld als een set van algemene voorwaarden die bestaat uit 1 deel met Algemene en 4 delen met Bijzondere bepalingen. In de ARBIT staan de minimumvoorwaarden waaronder de Rijksoverheid in het algemeen IT-leveringen en diensten contracteert. De ARBIT is specifiek voor alle soorten van IT-overeenkomsten (leveringen en/of diensten). In artikel 47 wordt escrow behandeld.

In de 2018-versie van de ARBIT zijn enkele aanpassingen doorgevoerd in verband met de Algemene Verordening Gegevensbescherming (AVG). In de 2022-versie zijn met het oog op het contracteren van clouddiensten aanpassingen doorgevoerd om de voorwaarden daartoe (nog) geschikter te maken. Zo wordt niet langer standaard een eeuwigdurend gebruiksrecht verlangd, en zijn bepalingen over audits, exit en informatieveiligheid aangevuld of aangepast. Naast de ARBIT zelf zijn ook in de modelovereenkomst aanpassingen doorgevoerd met het oog op het contracteren van clouddiensten.

Door gebruikers van de ARBIT is verzocht om de ARBIT meer geschikt te maken voor Agile ontwikkeltrajecten waarbij Maatwerkprogrammatuur wordt ontwikkeld (of bijvoorbeeld complexe Implementatie of configuratie van Programmatuur wordt gecontracteerd). Er is gekozen voor een nieuwe modelovereenkomst, de ‘modelovereenkomst ARBIT Agile’.

De Toolbox bevat onder andere inkoopvoorwaarden, kwaliteitsnormen en checklists, die gemeenten helpen bij het professionaliseren van de inkoop van ICT-diensten en –producten. En die IT marktpartijen faciliteren bij een herkenbaar inkooptraject. Gemeentelijke diensten digitaliseren steeds verder. Dat maakt professionalisering van inkoop van ICT essentieel. De GIBIT levert hiervoor de basis.

In artikel 36 -waarborgen continuïteit- van GIBIT 2023 worden continuïteitsrisico’s en escrow behandeld. Bij de toelichting wordt nadrukkelijk gesproken over de juridische en praktische (technische) borging van de toegang tot de data. En dat dit geregeld moet zijn voordat een calamiteit zich daadwerkelijk zou voordoen.

De ISO 27001 norm is een internationale standaard die de implementatie-eisen voor een Information Security Management System (ISMS) beschrijft. ISO 27001 eist dat organisaties systematisch risico’s voor informatieveiligheid identificeren en maatregelen nemen om deze risico’s tot een aanvaardbaar niveau terug te brengen. Het focust op het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door risico’s aan te pakken en ervoor te zorgen dat beveiligingsmaatregelen voldoende zijn.

ISO 27001 is een certificering waarmee je aantoont dat je voldoet aan de ISO norm voor informatiebeveiliging. Zo kunnen klanten aan deze ISO certificering zien dat het bedrijf een goede beveiliging heeft wanneer het aankomt op het verwerken van informatie. ISO 27002 is een aanvullende standaard op ISO 27001 en richt zich enkel op een specifiek aspect van het ISMS. Ze geeft meer gedetailleerdere informatie over de implementatie van de ISO 27001 maatregelen (ook wel controls genoemd).

SOC2, een auditrapport ontwikkeld door de American Institute of Certified Public Accountants (AICPA), richt zich op vijf vertrouwensdiensten: veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Beschikbaarheid regel je via escrow van Software Borg.

Het belangrijkste verschil tussen SOC2 en ISO 27001 is de focus en de reikwijdte. SOC 2 richt zich op de beheersing van informatiebeveiliging binnen de dienstverlenende organisatie en is specifiek gericht op de bescherming van klantgegevens. ISO 27001 is een breder beveiligingsbeheerstandaard dat richtlijnen biedt voor een uitgebreide reeks beveiligingsaspecten binnen een organisatie.

Geen van beide normen wordt noodzakelijk als superieur beschouwd. In plaats daarvan hangt het echt af van de specifieke eisen van je bedrijf en de aard van je operaties. Sommige bedrijven geven de voorkeur aan ISO 27001 vanwege de uitgebreide benadering van informatiebeveiliging, terwijl andere bedrijven kiezen voor SOC2 vanwege de focus op specifieke serviceorganisatie-controles. Beide normen kunnen samenwerken om een robuust informatiebeveiligingsprogramma te bieden.

NEN 7510 – Nederlandse norm voor informatiebeveiliging in de zorg

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Elke zorgaanbieder in Nederland is verplicht om deze norm te volgen. Het houdt in dat je als zorgaanbieder de relevante wet- en regelgeving kent, je bekend bent met de risico’s van het ontbreken van informatiebeveiliging en dat er zowel gestructureerd als planmatig gewerkt wordt aan het verbeteren van de beveiliging van persoonlijke gegevens. Een certificering is volgens de Nederlandse wet niet noodzakelijk, maar elke zorgverlener of instelling moet wel kunnen laten zien dat ze aan de eisen van de NEN 7510 voldoen.

De NEN 7510 bestaat tegenwoordig uit de delen NEN 7510-1 en NEN 7510-2. Deel 1 bevat de normatieve voorschriften voor het managementsysteem en in deel 2 komen de beheersmaatregelen aan bod. De continuïteitsregelingen van Software Borg vallen onder deze beheersmaatregelen.

NPR 5325:2017 – Overdragen van software

De NPR 5325 omschrijft, definieert en specificeert wat er behoort te worden vastgelegd wanneer software wordt overgedragen tussen partijen, welke risico’s de ontvangende partij heeft en hoe deze risico’s door de beoordelaar inzichtelijk kunnen worden gemaakt.

Vastleggen dient om overdraagbaarheid zichtbaar te maken. Wanneer overdraagbaarheid onvoldoende zichtbaar is, leidt dit tot hogere kosten of een verminderd vermogen om onderhoud van software te kunnen starten of te continueren bij de ontvangende partij.

Jouw vertrouwde escrow partner

Laat ons je helpen op het gebied van compliance.